Как лучше обеспечить защиту SSH от брутфорса?

Question

[Alex]

Постоянно идет брутфорс SSH, боюсь подберут.

Answer 1

[DevMan]

- использовать ключи, пароли отключить
- port knocking
- fail2ban

Answer 2

[Сергей Вавилов]

Изменение порта совместно с port knocking все таки уменьшает активность брутфорса.
Про port knocking можно почитать тут - habrahabr.ru/post/179219
В csf есть анализатор логов и блокировка при неудачных авторизациях.
Ну и само собой используйте безопасный пароль.

Answer 3

[Александр]

Брутфорс всегда идет - на VPS(или своем сервере) я бы сменил порт на какой нибудь более 60000, ну и пароль 16 символов(или больше) - и можно брутфорсить до естесвенной смерти вселенной. А fail2ban имхо будет засирать все своими банами.

Comments

[DevMan]

менять порт бесполезно.

[Влад Животнев]

DevMan: не, ну если порт сменить - то vps-ка с 256 памяти не будет страдать от брутфорса ssh. Я видел случаи, когда перебором такие виртуалки просто валили.
Если гиг памяти есть - то порт менять смысла нет уже.

А так да - fail2ban и забыть.

[DevMan]

Влад Животнев: порт элементарно находится.
его надо закрывать, а не менять.

[Влад Животнев]

DevMan: 80% ботов порт не ищет. А оставшихся 20% не хватает, чтобы забить 100 коннектов полуоткрытых в ssh (или сколько там по дефолту сейчас, не помню).

Answer 4

[make_luv]

Как уже говорили выше - логин по сертификату и отключение паролей.

Answer 5

[ARkER]

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 30 -j DROP
iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

Answer 6

[Дмитрий Шинкарь]

и можно брутфорсить до естесвенной смерти вселенной. - хороший юмор, плюсую)